Académique Documents
Professionnel Documents
Culture Documents
1. Durée prévue : 2h
2. Objectifs
Au terme de ce laboratoire, l'étudiant sera capable de :
Observer des paquets capturés dans Wireshark, les colorer et les annoter.
3. Introduction
AVERTISSEMENT – Dans la suite, les captures d’écrans ont été réalisées avec le thème clair de Kali Linux,
pour privilégier la lisibilité et l’imprimabilité du document. Wireshark était paramétré en français (Edit
> Preferences… ou Ctrl+Maj+P pour régler ce paramètre). Les commandes à entrer dans le terminal sont
précédées du symbole $.
L'analyseur de protocoles (ou sniffer) est un outil essentiel pour comprendre le fonctionnement des
protocoles réseaux. L'analyseur Wireshark est un logiciel libre incontournable en la matière. Mais, il est
nécessaire de prendre le temps de l’apprivoiser. Dans ce laboratoire, vous allez découvrir ses
fonctionnalités. Wireshark permet la capture de données envoyées sur un réseau, mais surtout d’afficher
ces données de façon structurée, permettant une compréhension du fonctionnement des protocoles
réseaux.
Utiliser un hub ;
Utiliser le miroir de port (port mirroring) ;
Utiliser un TAP ;
Procéder par ARP poisoning.
5. Capturer du trafic
Sur votre Kali Linux, exécutez l'application Wireshark (voir la Figure 1 pour trouver l’application)
1.
2.
3.
1. Liste des trames – les trames capturées sont présentées en colonnes. Vous constatez
directement qu’il y a un code couleur appliqué aux trames : toutes celles qui concernent un
même protocole sont colorées de la même façon. Cliquer sur une colonne permet de trier les
trames selon la valeur de la colonne. La colonne « information » contient un résumé du
contenu de la trame.
2. Analyse d’une trame – Sélectionnez une trame précise dans la liste. Ce cadre permet de
l’analyser en détails. Il y a plusieurs sous-menus disponibles (le plus souvent Frame, Ethernet,
Internet Protocol, etc.) qui correspondent à la pile des protocoles de chacune des trames. Si
vous déployez un des protocoles (dans la Figure 3, c’est le cas d’Ethernet et d’IP), vous pouvez
inspectez l’en-tête des paquets champ par champ.
3. Paquets au format hexadécimal – Vous trouvez ici le paquet tel qu’il a été capturé. Si vous
cliquez sur un champ précis dans l’analyse de la trame, vous pouvez voir comment il est codé
dans la trame. Par exemple, essayez de retrouver le champ destination dans l’en-tête IP d’un
datagramme. Cliquez sur l’adresse. Puisqu’une adresse IPv4 fait 32 bits, vous devriez voir 8
caractères hexadécimaux consécutifs être mis en évidence.
7. Visualisez l'ensemble des commentaires en cliquant sur le rond situé tout en bas à gauche et
vérifiez le numéro des deux trames concernées par vos commentaires appliqués au point 6.
8. Ajoutez une colonne commentaire : cliquez droit sur « Packet comments » (voir Figure 4) et
sélectionnez « appliquez en colonne ».
1. Filtrez uniquement les trames de protocole ICMP (les pings), puis HTTP, puis HTTPS et enfin le
DNS en entrant tour à tout « icmp », « http », « https » et « dns » comme filtre. Pour désactiver
un filtre, cliquez sur la croix qui apparait à droite de la barre de filtre lorsqu’il y a un filtre actif.
2. Réinitialisez le filtre d'affichage et filtrez uniquement les trames qui concerne l'adresse IP du site
www.trameo.net (il vous faut retrouver cette IP). Par un clic droit dans la barre de filtre +
« Afficher l’expression du filtre », vous obtenez le menu représenté à la Figure 6.
3. Améliorez ce filtre en ne retenant que les trames du protocole http : vous pouvez combiner les
expressions avec les opérateurs && (et), || (ou), not (non). Dans notre exemple, vous obtiendrez
l’expression : « ip.addr == X.X.X.X && http ».
4. Réinitialisez le filtre d'affichage et filtrez uniquement les trames UDP. Quel protocole applicatif
apparaît ?
5. Réinitialisez le filtre d'affichage et filtrez uniquement les trames HTTP contenant (en anglais
« contains ») le nom du host trameo
6. N'affichez que les frames contenant le mot « libre ». Vous pouvez formuler une expression du
type « frame contains XXX » pour chercher XXX dans toutes les frames.
7. Repérez la séquence des frames générées lorsque vous avez visité la page www.lalibre.be
8. Sauvegardez votre filtre (cliquez sur le signet à gauche de la barre de filtre puis sur sauvegarder)
avec le nom « Mon filtre libre » et testez son appel par le signet de wireshark (le même bouton
que pour sauvegarder le filtre. Maintenant, il est disponible en bas de la liste).
9. Créez un filtre "No HTTPS" excluant tout le trafic sur le port TCP 443.
10. Associez ce nouveau filtre à un bouton "Pas de HTTPS". Pour créer un bouton, il faut cliquer sur le
« + » à l’extrême droite de la barre de filtre. Il suffit de spécifier un filtre et une étiquette (un
nom). Le bouton apparaitra sur la droite.
11. Créez un nouveau filtre "Only DNS query" en appliquant cette méthode :
a. Trouvez une requête DNS et cliquer sur le paquet.
b. Cherchez dans l’en-tête DNS le champ « flags »
c. Cliquez-droit sur « Opcode : Standard query »
d. Sélectionnez « Appliquer comme un filtre > Sélectionné ».
c. À l’aide d’un clic droit sur ce champ, vous faites apparaitre le menu représenté dans la
Figure 10. Sélectionnez « Appliquez en colonne ». Vous venez de créer une nouvelle
colonne dans la partie supérieure qui liste les trames. Par un clic droit sur le titre de la
colonne vous pouvez accéder aux « Préférences de colonnes ». Si vous double-cliquez sur
un titre, vous pouvez en modifier la valeur. Changez par exemple « Name » en « NDD ».
3. Il est aussi possible de ne mettre en évidence que les paquets qui concernent une conversation
précise. Par exemple, si on veut mettre en évidence une session http, on procèdera ainsi :
a. Sélectionner un paquet qui concerne l’échange voulu dans la liste des paquets
b. Faire un clic-droit et sélectionner « Colorier la conversation »
c. Plusieurs protocoles sont disponibles (Ethernet, IPv4 et TCP dans notre exemple). Il faut
choisir TCP (pourquoi ?) et la coloration voulue.